Sentencia de Tutela nº 360/22 de Corte Constitucional, 13 de Octubre de 2022

La solicitud

El 9 de febrero de 2022, el señor I.S.R., obrando en nombre propio, presentó acción de tutela en contra del Banco Davivienda S.A., por la presunta vulneración de sus derechos fundamentales al buen nombre, a la honra, al debido proceso y al habeas data. Manifestó que la referida entidad bancaria lo reportó en la central de riesgos de D. por incurrir en mora frente al pago de varias obligaciones crediticias que figuran a su nombre, pero que nunca solicitó ni adquirió personalmente.

Hechos relevantes

1. El accionante reside en el municipio de Sabana de Torres, Santander. Según manifiesta, el 21 de mayo de 2021, suscribió un contrato para la prestación de los servicios de televisión y de internet satelital con la empresa SAB Internet para todos S.A.S. Asegura que para la celebración de dicho negocio jurídico entregó a tres personas, que se presentaron en su domicilio como trabajadores de esa compañía, una copia escaneada de su cédula de ciudadanía y la impresión digital de sus huellas dactilares.

2. No obstante lo anterior, y pese a las múltiples reclamaciones posteriores en torno al cumplimiento del contrato, la empresa no instaló ninguno de los servicios pactados. Por esta razón, el señor S.R. sostiene que SAB Internet para todos S.A.S. “lo estafó”, tal y como ha “estafado” a varios de los habitantes del municipio donde reside[2].

3. El 16 de junio de 2021, el actor sostiene que consultó su historial crediticio. Advirtió que aparecía con un reporte en la central de riesgo de Datacrédito como titular de varias obligaciones contraídas con el Banco Davivienda S.A. que en ningún momento ha adquirido. Inclusive, adujo que ese mismo día, por medio del servicio de atención telefónico de la entidad, no solo se le confirmó la efectiva existencia de diversos productos financieros a su cargo, sino también se le sugirió que acudiera a una de sus oficinas para poder entregarle información más detallada[3].

4. Al día siguiente, según sostuvo, en una sucursal del Banco Davivienda, ubicada en el municipio de Barrancabermeja, le comunicaron que el sistema de la entidad registraba con su nombre los siguientes productos que fueron “abiertos en línea”: (i) un crédito por valor de veinte millones de pesos; (ii) una tarjeta de crédito con cupo equivalente a un millón quinientos mil pesos; y (iii) una cuenta de ahorros[4]. De inmediato, el señor S.R. indicó que la información reportada era errónea y, por tanto, pidió su corrección, al tiempo que, por sugerencia de la misma entidad bancaria, presentó denuncia por tales hechos ante la Sala de Atención al Usuario de la Fiscalía de Barrancabermeja[5]. Adicionalmente, puso en conocimiento de la Superintendencia Financiera la indebida utilización de sus huellas digitales y de su cédula de ciudadanía para solicitar créditos bancarios.

5. En escrito del 6 de julio de 2021, el Banco Davivienda S.A. rechazó la solicitud realizada por el señor S.R.. Para tal efecto, sostuvo que los productos financieros fueron requeridos a través de la aplicación Davivienda Móvil[6]. Igualmente, adujo que: (i) los soportes de apertura de los productos presentaban semejanza con sus huellas dactilares y su documento de identidad; (ii) para su respectiva aprobación se verificó tanto su huella dactilar como la imagen de su cédula de ciudadanía a partir de un proceso de autenticación biométrica que fue exitoso; y, (iii) se adelantó una investigación interna que determinó su titularidad en relación con los productos cuyo reconocimiento pretende desconocer. Esta respuesta fue reiterada en las comunicaciones posteriores del 23 de agosto[7] y del 25 de noviembre de 2021[8].

6. El 18 de agosto de 2021, el accionante sostuvo que acudió a la sucursal del Banco Davivienda ubicada en la calle 35 de la ciudad de Bucaramanga. Afirma que uno de los asesores le aclaró que: (i) el préstamo de libre inversión y la tarjeta de crédito fueron avalados en la oficina virtual del banco de la ciudad de Barranquilla por parte de la señora A.A.; (ii) aunque los presuntos estafadores registraron en la oficina de Davivienda virtual una dirección y un número de celular para la entrega de la tarjeta de crédito, esta nunca se entregó tras no haber podido ser recibida; (iii) el crédito fue desembolsado el 2 de junio de 2021; y, (iv) con posterioridad a la antedicha fecha, se utilizó la tarjeta de crédito virtual en la ciudad de Barranquilla.

7. En condición de titular de los productos financieros aparentemente adquiridos con el Banco Davivienda S.A., el señor S.R. fue objeto de los respectivos cobros vía telefónica. Tras figurar en el sistema con una mora superior a 90 días, fue reportado a Datacrédito[9].

   Pretensiones

8. El señor I.S.R. promovió acción de tutela en contra del Banco Davivienda S.A., con el fin de obtener la protección de sus derechos fundamentales al buen nombre, a la honra, al debido proceso y al habeas data, presuntamente vulnerados por la entidad demandada al haberlo reportado en las centrales de riesgo a causa de la mora en que incurrió frente al pago de varios productos financieros que nunca solicitó ni adquirió personalmente. Por esta razón, solicitó al juez de conocimiento que concediera el amparo constitucional de las prerrogativas superiores invocadas, de suerte que ordene eliminar el dato negativo reportado, previa exoneración del pago de las obligaciones que aparecen reportadas a su nombre por la entidad bancaria.

   Trámite procesal y oposición a la demanda de tutela

9. Mediante auto del 9 de febrero de 2022, el Juzgado Promiscuo Municipal de Sabana de Torres, Santander, dispuso admitir la acción de tutela y ordenar su traslado a la entidad demandada, al tiempo que vincular a la empresa SAB Internet para todos S.A.S., a la Superintendencia Financiera de Colombia y a D. para que se pronunciaran en relación con la problemática jurídica planteada y, a su vez, ejercieran los derechos de contradicción y defensa[10].

10. Inicialmente, el Banco Davivienda S.A., a través de apoderado judicial, contestó la acción de tutela en memorial del 11 de febrero de 2022[11]. Respecto de los hechos descritos manifestó que el demandante sí le solicitó la apertura de una cuenta de ahorros, una tarjeta de crédito y un crédito móvil. En relación con la queja radicada ante la Superintendencia Financiera, sostuvo que se realizó una investigación en la que se determinó que los soportes de los productos otorgados coincidían por completo con su documento de identidad. Sumado a lo anterior, aseguró haber dado respuesta a todas y cada una de las solicitudes presentadas por el actor, motivo por el cual pedía declarar improcedente el recurso de amparo constitucional por falta de subsidiariedad, pues se trataba de una controversia de índole económico que debe ser ventilada ante la jurisdicción ordinaria.

11. En respuesta de esa misma fecha[12], la Superintendencia Financiera de Colombia certificó que el 28 de junio de 2021, el señor I.S.R. presentó una queja en contra del Banco Davivienda S.A. Sobre este particular, indicó que, si bien requirió en dos oportunidades a la entidad bancaria para que resolviera las inquietudes formuladas por el accionante, optó por cesar el procedimiento administrativo, debido a que los hechos fueron esclarecidos por aquella en las comunicaciones del 6 y del 23 de agosto de 2021. En vista de lo anterior, solicitó su desvinculación del procedimiento de tutela por falta de legitimación en la causa por pasiva.

12. Por su parte, la empresa SAB Internet para todos S.A.S., en su escrito de respuesta[13], adujo que el documento firmado en su momento por el demandante no responde a un contrato de prestación de servicios de telecomunicaciones ofrecido por ella, en cuanto no solo no presta ningún servicio de internet ni de televisión. Además, afirmó que tampoco tiene personal contratado ni cuenta con oficinas en ningún municipio del país. En tales condiciones, dejó entrever que los hechos denunciados por el señor S.R. indican que personas desconocidas estarían usando el nombre de la empresa para cometer fraude.

13. Finalmente, en escrito del 14 de febrero de 2022, D. solicitó su desvinculación del trámite de la acción de tutela. Para tal efecto, advirtió que las obligaciones que figuran a nombre del actor se encuentran vigentes y en mora, por lo que no puede eliminar el dato negativo reportado al configurarse una situación de falta de pago[14]. Asimismo, argumentó que, de acuerdo con la Ley 1266 de 2008[15], no le corresponde en su calidad de operador de la información solicitar ningún tipo de autorización al titular de los datos para publicarlos, ya que ello solo le incumbe a la fuente que, para el caso concreto, es el Banco Davivienda S.A.

Sentencia de primera instancia

14. En sentencia de primera instancia del 22 de febrero de 2022, el Juzgado Promiscuo Municipal de Sabana de Torres declaró improcedente la protección invocada por falta de subsidiariedad[16]. Para adoptar tal determinación, resaltó que las personas deben hacer uso de todas las herramientas legales que el ordenamiento jurídico les brinda para proteger sus garantías fundamentales, antes de acudir al recurso de amparo constitucional consagrado en el artículo 86 Superior. En particular, concluyó que en el caso concreto el actor contaba con otros medios de defensa judicial, como el proceso penal, para salvaguardar sus derechos e intereses.

La anterior decisión no fue objeto de impugnación por las partes.

Decreto de pruebas

15. Por medio de auto del 9 de agosto de 2022, el magistrado sustanciador solicitó a la Fiscalía General de la Nación que informara sobre las diligencias que ha surtido hasta el momento para investigar la conducta punible denunciada por el señor I.S.R.. Igualmente, se le pidió a este último que informara acerca de las actuaciones que ha adelantado ante la fuente para pedir la corrección de la información que juzga errónea. Adicionalmente, allí se requirió al Banco Davivienda S.A. para que remitiera copia de las distintas medidas que ha adoptado como consecuencia de las reclamaciones realizadas por el actor y esclareciera si su identidad fue efectivamente suplantada. Por último, ofició a la Superintendencia Financiera para que remitiera copia del expediente administrativo que contiene la queja presentada por el accionante.

    A continuación, se resumen las intervenciones recibidas por la Secretaría General de la Corte Constitucional en cumplimiento del antedicho proveído.

    Respuestas de las entidades involucradas

16. El 16 de agosto de 2022, el demandante remitió su respuesta al auto de pruebas[17]. En su escrito manifestó: (i) que no ha presentado ninguna solicitud adicional ante D., porque no se le ha respondido su petición del 29 de agosto de 2021; (ii) acerca de la presentación de nuevas solicitudes advirtió que con posterioridad a la presentación de la acción de tutela, el 1º de abril del año en curso le solicitó a Fiscalía Local de Sabana de Torres impulsar el proceso penal por estos hechos, pero esta autoridad no le respondió.

    En un segundo memorial advirtió que cuando se validó el crédito, Davivienda nunca lo confirmó con él por ningún medio. También señaló las siguientes deficiencias de la investigación penal: (i) nunca se le informó en qué estado se encuentra el proceso; (ii) no se adelantó ninguna investigación para corroborar las placas del vehículo de las personas que presuntamente lo estafaron, aunque él las suministró; (iii) no fue notificado del archivo de la investigación penal[18].

17. El 22 de agosto de 2022, la Superintendencia Financiera remitió copia del expediente administrativo que contenía la queja presentada por el señor I.S.R.[19]. A través de un escrito posterior expresó que mediante el trámite de quejas no se contempla la resolución de controversias entre los consumidores financieros y las entidades vigiladas, relacionadas con el cumplimiento de las obligaciones contractuales asumidas[20]. En esos casos, según advirtió, debe acudirse a una demanda ante la autoridad jurisdiccional competente.

18. El 25 de agosto de 2022, el Banco Davivienda respondió el auto de pruebas[21]. En su escrito adujo (i) que el accionante suministró su información personal a terceros, quienes bajo engaños registraron su cédula y registros biométricos para la apertura de los productos móviles. No obstante, advirtió que para la entidad bancaria quien tramitó y obtuvo los productos móviles objeto de la reclamación fue el señor I.S., pues al cotejar su huella y cédula de ciudadanía estos coinciden con los originales del accionante. Además, (ii) dijo que para determinar si la identidad del reclamante había sido suplantada hizo una validación con un experto en dactiloscopia y se analizó la cédula de ciudadanía. Este análisis concluyó que el documento era original, y las huellas correspondían a las mismas registradas en la aplicación móvil. Igualmente, se refirió a los pasos que deben agotarse para abrir una tarjeta de crédito y un crédito móvil, a través de la aplicación del banco. Finalmente (iii) concluyó que en este caso no se violó el derecho al habeas data, debido a que se reportó ante las centrales de información financiera que en el registro de las obligaciones se incluyó la leyenda “víctima de falsedad personal”. El accionado también remitió copia de las respuestas a las reclamaciones presentadas por el actor, y de los reportes en las centrales de información financiera.

19. La Dirección de Asuntos Jurídicos de la Fiscalía General de la Nación respondió en el término otorgado el auto de pruebas[22]. En el memorial presentado sostuvo: (i) que la investigación penal de la denuncia interpuesta por I.S.R. fue asumida por la Fiscalía Única Local de Sabana de Torres, de la Dirección Seccional del M. Medio; (ii) que el caso se encuentra inactivo, porque el fiscal de conocimiento profirió una orden de archivo el 31 de enero de 2022; (iii) que en este caso no se han individualizado a los presuntos responsables. Finalmente, la entidad remitió copia de la investigación penal.

20. Asimismo, Experian Colombia S.A- Datacrédito advirtió que de conformidad con la Ley 1266 de 2008[23]: (i) a Davivienda le corresponde verificar si en este caso existió una suplantación o no, debido a que esa entidad bancaria tiene la calidad de fuente, y es ella quien mantiene una relación financiera con el titular de la información; (ii) las fuentes y no los operadores, tienen el deber de guardar la autorización otorgada por los titulares y certificar el hecho; (iii) la tutela no puede prosperar contra el operador, ya que el dato negativo fue suministrado por la fuente de la información.

A. Competencia

21. Con fundamento en los artículos 86 y 241, numeral 9°, de la Constitución y 31 a 36 del Decreto 2591 de 1991, la Sala Sexta de Revisión de Tutelas de la Corte Constitucional es competente para revisar el fallo de tutela proferido en el proceso de la referencia.

    B Análisis sobre la procedencia formal de la acción de tutela

22. A continuación, se examinará si en el caso de la referencia se cumple con los requisitos para la procedencia formal de la acción de tutela. Vale precisar que solo en el evento en que los presupuestos se encuentren acreditados, la Sala de Revisión procederá a delimitar el problema jurídico y a pronunciarse de fondo sobre la controversia planteada en esta oportunidad.

    1. Legitimación en la causa por activa y por pasiva

23. Tal como lo dispone el artículo 86 de la Constitución, la acción de tutela es un instrumento de defensa judicial al que puede acudir cualquier persona para reclamar la protección inmediata de sus derechos fundamentales, cuando quiera que estos resulten vulnerados o amenazados como consecuencia de las acciones u omisiones de las autoridades públicas y, excepcionalmente, de los particulares, en aquellos eventos delineados por la Ley[24].

    En consonancia con dicho mandato superior, el Decreto 2591 de 1991[25], en su artículo 10, definió los titulares de la acción de tutela[26], quienes podrán solicitar el amparo constitucional (i) bien sea en forma directa; (ii) por intermedio de un representante legal (caso de los menores de edad, personas con discapacidad y personas jurídicas); (iii) mediante apoderado judicial (abogado titulado con poder judicial o mandato expreso); (iv) así como a través de agente oficioso (cuando el titular del derecho no esté en condiciones de promover su propia defensa). De igual manera, según se dispone en la ley, se encuentran legitimados para ejercer esta acción, (v) tanto el Defensor del Pueblo como (vi) los personeros municipales (facultados para intervenir en representación de terceras personas, siempre que el titular de los derechos haya autorizado expresamente su mediación o se adviertan situaciones de desamparo e indefensión)[27].

24. En el presente caso, se tiene que el señor I.S.R. se encuentra legitimado en la causa por activa en el marco de la acción de tutela, toda vez que obra en su propio nombre y actúa directamente en defensa de sus propios derechos e intereses, con el propósito no solamente de ser exonerado del pago de las obligaciones crediticias que figuran a su nombre, sino también de que se elimine el dato negativo reportado por el Banco Davivienda S.A. en la central de riesgo de Datacrédito[28].

25. Por otro lado, acerca de la legitimación en la causa por pasiva, de acuerdo con lo establecido en los artículos 5[29], 13[30] y 42[31] del Decreto 2591 de 1991, este mecanismo constitucional procede “contra toda acción u omisión de particulares” y “cuando la solicitud sea para tutelar a quien se encuentre en una situación de subordinación o indefensión respecto del particular contra el cual se interpuso la acción”[32].

    Concretamente, la jurisprudencia constitucional ha sido clara y consistente en señalar que la acción de tutela es procedente contra las entidades bancarias para solicitar la protección de los derechos fundamentales al habeas data y al buen nombre, cuando se efectúa el reporte a las centrales de riesgo por obligaciones que el demandante alega inexistentes[33]. En ese sentido, esta Corte también ha precisado que la actividad financiera constituye un servicio público, dado que su objetivo principal es “captar recursos económicos del público para administrarlos, intervenirlos y obtener de su manejo un provecho de igual naturaleza”[34]. Desde luego, conforme con el artículo 335 de la Carta Política, las actividades financieras que involucran la inversión, aprovechamiento y manejo de recursos son de interés público, previa autorización del Estado. De ahí que en este tipo de asuntos se configure, en líneas generales, o bien una situación de indefensión o bien una relación de asimetría entre las partes involucradas[35], pues es claro que la entidad bancaria se halla en una posición dominante respecto de sus usuarios, al depositarse en ella la confianza pública por el servicio que presta y cobijarse todas sus determinaciones bajo una presunción de veracidad[36].

26. Con fundamento en las anteriores consideraciones, para la Sala no hay duda de que el Banco Davivienda S.A. está legitimado como parte pasiva en el trámite que se adelanta, en cuanto presta un servicio público de administración de recursos económicos, a los cuales se les atribuye la presunta vulneración de las prerrogativas fundamentales en discusión.

    2. Inmediatez

27. La jurisprudencia constitucional ha resaltado que, de conformidad con el artículo 86 de la Constitución, la acción de tutela no tiene término de caducidad. Sin embargo, esta debe formularse en un plazo razonable desde el momento en el que se produjo el supuesto fáctico vulnerador[37]. En este caso, debe señalarse que el señor I.S.R. presentó la acción de tutela el 9 de febrero de 2022[38], luego de solicitar por escrito el 3 de noviembre de 2021[39] al Banco Davivienda S.A. la corrección de sus datos personales. Ello significa que transcurrieron menos de tres meses entre la última comunicación de la entidad bancaria en la que se deja constancia de que el actor figura como titular de las obligaciones crediticias reportadas en mora y la radicación de la acción de tutela, razón por la que su presentación oportuna se tiene por satisfecha.

    3. Subsidiariedad

28. Según ha sido precisado por la jurisprudencia constitucional, la acción de tutela fue concebida como un instrumento de defensa judicial para la protección inmediata de los derechos fundamentales al que la propia Carta Política atribuyó un carácter subsidiario y residual[40]. De acuerdo con lo anterior, la tutela no es un mecanismo alternativo, adicional o complementario de los previstos en el ordenamiento para garantizar los derechos de las personas, pues con ella no se pretende sustituir los procesos ordinarios o especiales y mucho menos aún, desconocer las acciones y recursos inherentes a los mismos para controvertir las decisiones que se profieran[41].

    La Corte ha enfatizado que esa particular condición supletiva de la acción de tutela claramente expresada en el artículo 86 Superior, además de reconocer la naturaleza preferente de los diversos mecanismos judiciales establecidos por la ley[42], permite interpretar que el ejercicio del recurso de amparo constitucional sólo es procedente de manera excepcional. Esta acción solo será procedente cuando no existan otros medios de protección a los que se pueda acudir, o aun existiendo éstos, se compruebe su ineficacia en relación con el caso concreto o se promueva para precaver la ocurrencia de un perjuicio irremediable[43].

    Esta aproximación encuentra pleno respaldo en el artículo 6º del Decreto 2591 de 1991, el cual, al referirse a las causales de improcedencia de la acción de tutela, puntualiza claramente que la existencia de otros medios de defensa judicial tendrá que ser apreciada en concreto, atendiendo al grado de eficiencia y efectividad material -y no meramente formal- del mecanismo judicial para encarar las específicas circunstancias en que se encuentre el solicitante al momento de invocar la protección del derecho presuntamente conculcado.

29. En este asunto, el Juzgado Promiscuo Municipal de Sabana de Torres, en la sentencia de primera y única instancia del 22 de febrero de 2022, decidió que la acción de tutela era improcedente, porque el accionante cuenta con otros medios de defensa para la protección de sus derechos, como el proceso penal. Según advirtió, los otros medios de defensa dispuestos por el ordenamiento garantizan la efectividad de un proceso judicial en el que se pueden practicar pruebas, para determinar lo que corresponda en derecho.

    La Sala difiere de la conclusión del juez de primera instancia. En este caso, la acción penal no es idónea para proteger el derecho al habeas data. Tampoco tiene la aptitud para corregir del dato negativo o positivo suministrado por una fuente al operador de la información. Como lo ha señalado la Corte, el proceso penal tiene la finalidad de establecer la responsabilidad individual del acusado, por infringir la ley penal[44]. El juez penal impone una sanción y no puede pronunciarse sobre la responsabilidad institucional de una persona jurídica en la violación de los derechos fundamentales de una persona[45]. En contraste, la acción de tutela, le permite al juez constitucional imponer medidas mucho más amplias y comprehensivas de protección de derechos fundamentales que van más allá de la sanción o la indemnización de perjuicios[46].

30. Durante el proceso de tutela Davivienda advirtió que en este caso se presentaba una controversia de contenido económico que no debía ser resuelta por el juez de tutela, sino por los jueces ordinarios. De manera semejante, la Superintendencia Financiera consideró que el accionante debía presentar una demanda con fundamento en las funciones jurisdiccionales atribuidas a ese organismo.

    La Sala considera que en este caso no se plantea una controversia estrictamente económica, que invoque derechos de carácter personal y particular. Por el contrario, lo que pretende el señor S. hace parte del núcleo esencial del derecho fundamental al hábeas data, pues pretende la rectificación del dato negativo y, en un sentido más amplio, su reclamo constitucional está vinculado con una presunta falla en la adecuada gestión de sus datos personales. Esta corporación ha decidido en múltiples oportunidades casos que se refieren a la efectividad de este derecho, cuando los titulares de los datos son reportados a centrales de riesgo, con fundamento en obligaciones que no existen[47]. Tampoco considera que en este caso se presenta una controversia que pueda ser resuelta por medio de las facultades jurisdiccionales previstas en la ley. Esa competencia se limita a resolver las controversias contractuales entre los consumidores financieros y las entidades vigiladas por la Superintendencia Financiera relacionadas exclusivamente con la ejecución y cumplimiento de obligaciones contractuales financieras, bursátiles o aseguradoras. En este asunto el accionante no alega el incumplimiento de una obligación de estas características.

    Al respecto, la Sala estima que en el caso concreto se cumplió con el requisito de procedibilidad exigido por la jurisprudencia, en casos semejantes consistente en solicitar la corrección de los datos por la fuente. En este sentido, la jurisprudencia de la Corte, en las Sentencias T-883 de 2013[48] y T-129 de 2010[49], ha reconocido que cuando se trata de controversias relacionadas con el recaudo, administración y uso de la información personal, el medio idóneo y efectivo para proteger el derecho fundamental consiste en solicitar la corrección del dato negativo ante la fuente de la información. Ello, teniendo en cuenta que la Ley 1266 de 2008 consagra en su artículo 16 que los titulares de la información o causahabientes que consideren que la información contenida en su registro individual en un banco de datos debe ser objeto de corrección o actualización, podrá presentar un reclamo ante el operador o la fuente para que este, una vez verificadas las observaciones o planteamientos del titular, decida.

    Pues bien, en el asunto bajo estudio el señor I.S. le manifestó al Banco Davivienda que no había adquirido la cuenta de ahorros, el crédito móvil y la tarjeta visa móvil, que aparecían a su nombre, el 29 de junio de 2021, y pidió que cancelaran los productos[50]. Ante la respuesta negativa del banco presentó una nueva comunicación en los canales de atención del Banco, el 10 de agosto de 2021[51].

    Con posterioridad, el señor I.S.R., el 3 de noviembre de 2021, le solicitó a la entidad bancaria que se levantara el dato negativo reportado a las centrales de riesgo, por la mora en los productos adquiridos[52] .Esa solicitud fue rechazada, el 25 de noviembre de 2021, por el Banco Davivienda, en la que advirtió que no era posible eliminar los datos negativos ante los operadores de la información, porque la entidad tenía el deber legal de realizar el reporte negativo y positivo de los productos que tienen los clientes con el banco[53]. Es decir, que el actor le solicitó a la fuente de la información, que en este asunto es Davivienda, la corrección del dato desfavorable.

    En consecuencia, en este caso el accionante agotó la solicitud de corrección del dato negativo ante la fuente de la información que en este caso es un requisito de procedibilidad, para proteger el derecho fundamental al hábeas data.

31. Ahora bien, con posterioridad a los reclamos ante Davivienda y la Superintendencia Financiera, el 29 de octubre de 2021 entró en vigencia la Ley Estatutaria 2157 de 2021, que reformó la Ley 1266 de 2008. Esa norma estableció en el artículo 7º, que las solicitudes y reclamos sobre suplantación deberán presentarse ante la fuente. Cuando la solicitud no sea respondida el peticionario podrá solicitar la imposición de sanciones y las decisiones que sean pertinentes para hacer efectivo el derecho ante la Superintendencia Financiera[54].

    En este caso, el señor S. acudió ante la entidad bancaria, el 3 de noviembre de 2021, con posterioridad a la aprobación de la ley. La solicitud fue negada por Davivienda el 25 de noviembre de 2021. El accionante no acudió nuevamente ante la Superintendencia Financiera con fundamento en lo dispuesto en la Ley 2157 de 2021. Sin embargo, esa no es una razón suficiente para considerar que se incumplió con el requisito de subsidiariedad. De hecho, desde antes de la expedición de la Ley 2157 de 2021 ese recurso estaba disponible. En el artículo 17 de la Ley 1266 de 2008 se prevé que se puede acudir ante esa entidad para solicitar, la corrección, actualización o retiro de los datos personales que son administrados por los establecimientos de crédito. Además, en el expediente no existe evidencia que demuestre la eficacia de este recurso, y ninguno de los sujetos procesales consideró que era idóneo para resolver este asunto.

32. Finalmente, se advierte que el actor obró de manera diligente, pues acudió a los medios de defensa judicial previstos en el ordenamiento jurídico. Así, el 17 de junio de 2021, interpuso una denuncia ante la Sala de Atención al Usuario de Barrancabermeja de la Fiscalía General de la Nación por la comisión del delito de falsedad personal del que fue víctima[55]. Incluso, desde el 26 de junio de 2021[56], radicó una queja ante la Superintendencia Financiera de Colombia para advertir sobre la utilización fraudulenta de sus huellas digitales y de su documento de identidad para adquirir distintos productos financieros.

    En conclusión, en este caso la Corte concluye que se cumplió con el requisito de subsidiariedad porque (i) el proceso penal no es un medio idóneo para proteger, en casos como el que se resuelve, el derecho fundamental al hábeas data, (ii) el accionante agotó el requisito de procedibilidad, exigido en este tipo de asuntos pues le solicitó la corrección del dato negativo a la fuente y (iii) no se encuentra probado que el proceso previsto en la Ley 2157 de 2021 sea efectivo para corregir los datos personales erróneos.

    B. Formulación del problema jurídico y metodología de la decisión

33. De conformidad con lo expuesto en líneas precedentes, el señor I.S.R. presentó acción de tutela en contra del Banco Davivienda S.A., con el fin de que se le amparen sus derechos fundamentales al habeas data, al debido proceso, a la honra y al buen nombre, al ser reportado en las centrales de riesgo por no pagar varios productos financieros que habrían sido adquiridos suplantando su identidad. En contraste, la entidad bancaria dejó en claro, en sede de revisión, que llevó a cabo una investigación interna. En ella se demostró que el accionante, bajo engaño, suministró su información personal a terceros que solicitaron en su nombre los productos objeto de la reclamación.

    Lo anterior, plantea un asunto relevante, porque recientemente el Congreso de la República adoptó la Ley Estatutaria 2157 de 2021, que obliga a las entidades que sean operadores, fuentes y usuarios de información crediticia y financiera a demostrar que han adoptado medidas apropiadas y efectivas para proteger el marco normativo de protección de datos. En consecuencia, en este caso abordará el cumplimiento de ese mandato, denominado responsabilidad demostrada, al referirse a la investigación adelantada por el accionado para investigar la alegada suplantación de identidad.

34. En tales condiciones, le corresponde a la Sala Sexta de Revisión de la Corte Constitucional resolver el siguiente problema jurídico: ¿el Banco Davivienda S.A. vulneró el derecho fundamental de I.S.R. al reportarlo en la central de riesgos de Datacrédito y mantener el dato negativo por el supuesto incumplimiento de unas obligaciones financieras, aunque se demostró en una investigación interna, que fueron obtenidas de manera fraudulenta a través de la suplantación de su identidad?

35. Con tal propósito, la Sala abordará el estudio del derecho fundamental al habeas data financiero y del principio de responsabilidad demostrada en el sistema jurídico colombiano para, con posterioridad, analizar el alcance de la protección del citado derecho cuando se trata de obligaciones crediticias inexistentes y se incurre en la conducta de suplantación de identidad. Por último, identificadas las subreglas y puestas en contraste con los hechos materiales del caso que se revisa, se dará respuesta al cuestionamiento atrás enunciado.

    El derecho fundamental al habeas data financiero

36. Una de las manifestaciones del derecho al habeas data se refiere a la protección de datos personales de contenido financiero. En efecto, la Carta Política garantiza, en su artículo 15, el derecho fundamental de toda persona a conocer, actualizar y rectificar la información comercial, financiera y crediticia recopilada en centrales de información para determinar el riesgo financiero de una persona[57]. Su regulación, en términos generales, se encuentra delimitada en la Ley Estatutaria 1266 de 2008[58], modificada y adicionada por la Ley 2157 de 2021[59], que desarrolla esta garantía constitucional y extiende su ámbito de aplicación a todos los datos de información personal registrados en un banco de datos, sean estos de naturaleza pública o privada. Por esta razón, la jurisprudencia constitucional ha caracterizado al habeas data financiero como un derecho fundamental específico, que se origina en la particular incidencia de las facultades previstas en el artículo 15 superior en el caso de las actividades de intermediación.

    Concretamente, dicha garantía tiene como finalidad preservar los intereses del titular de la información ante “el potencial abuso del poder informático, que para el caso particular ejercen las centrales de información financiera, destinada al cálculo del riesgo crediticio”[60]. El ejercicio de este derecho se relaciona con (i) el interés general, que representa el sistema financiero, (ii) la democratización del crédito, (iii) los derechos de crédito de las personas naturales y jurídicas, y (iv) el derecho a la información de las entidades que conforman el sistema financiero[61].

37. De acuerdo con lo expuesto en la jurisprudencia constitucional en la materia, que fue sistematizada recientemente por la Sentencias SU-139 de 2021[62] y C-032 de 2021[63], el núcleo esencial del habeas data se encuentra conformado por los siguientes contenidos mínimos: a) el derecho a acceder a la información que se encuentra recogida en bases de datos; b) el derecho a incluir datos nuevos, para que exista una imagen completa del titular; c) el derecho a actualizar la información; d) el derecho a corregir la información contenida en una base de datos; y e) el derecho a excluir una información que se encuentra contenida en una base de datos.

38. A su vez, la garantía de este derecho se encuentra directamente asociada a un conjunto armónico e integral de principios de la administración de datos, consagrados en la normativa estatutaria y desarrollados por la jurisprudencia, que permiten la satisfacción de los derechos de los titulares[64], las fuentes de información[65], los operadores de las bases de datos[66] y los usuarios[67]. Estos son: libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad.

39. De acuerdo con el principio de libertad, el tratamiento de los datos solo puede llevarse a cabo cuando exista un consentimiento libre, previo y expreso del titular, a no ser que esté de por medio una obligación legal o judicial, que no requiera de dicho consentimiento[68]. Con este principio se pretende evitar que se recoja y divulgue información personal adquirida en forma ilícita, sin el consentimiento del titular, o sin una justificación legal o constitucional concreta[69]. Además, este principio se refiere a “la potestad con la que cuenta el titular de disponer de la información y conocer su propia identidad informática”[70]. Lo anterior consiste, básicamente, en el conocimiento de la recopilación de los datos, estar informado acerca de la finalidad del tratamiento y contar con “herramientas efectivas para su conocimiento, actualización y rectificación”[71].

    Sobre el principio de veracidad, la Ley 1266 de 2008 prevé que “la información contenida en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible”[72]. Por ello, “se prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan a error”[73], con lo cual se pretende asegurar que los datos reflejen situaciones reales, es decir, que sean ciertos, por lo que se encuentra prohibida la administración de datos erróneos[74]. En este punto, la jurisprudencia constitucional ha advertido que la prohibición de divulgar datos parciales o fraccionados se encuentra comprendida en el principio de integridad de la información[75]. En suma, la veracidad implica un deber de objetividad, esto es, que “la información no debe ser presentada en forma inductiva, sesgada o sugestiva”. Es una correspondencia entre el registro y las condiciones fácticas del sujeto cuya información personal es administrada en bases de datos, entre ellas las destinadas a la determinación del riesgo financiero.

    Por su parte, el principio de incorporación, cuyo alcance fue abordado con amplitud en las Sentencias C-282 de 2021[76] y C-032 de 2021[77], obliga al responsable del tratamiento a registrar en la base de datos toda la información que tenga una consecuencia favorable para el titular. En otras palabras, cuando la inclusión de la información personal comporte consecuencias negativas para una persona, la fuente y el operador tienen el deber de actualizar esta información con los comportamientos que incidan en la aplicación de estas consecuencias. El cumplimiento de ese deber implica, por ende, la satisfacción de los principios de incorporación y veracidad.

    Acerca del principio de finalidad, la Ley 1266 de 2008 señala que la administración de los datos personales debe obedecer a una finalidad compatible con la Constitución. En este sentido, la jurisprudencia ha advertido de manera reiterada que para satisfacer este principio: (i) los datos deben ser procesados con un propósito específico y explícito; (ii) la finalidad de la recolección debe ser legítima de acuerdo con la Constitución y (iii) la recopilación de los datos debe tener un fin exclusivo, de tal manera que se encuentra prohibido “el uso o divulgación de datos para una finalidad diferente a la inicialmente prevista”[78]. Asimismo, la Corte ha establecido que la recolección de datos debe estar acorde con el principio de utilidad. Ello quiere decir que el acopio, procesamiento e información de los datos personales debe tener una función determinada. De allí que “quede proscrita la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara y suficientemente determinable”[79].

    En particular, esta Corporación ha llamado la atención de que el cálculo del riesgo crediticio es una finalidad constitucional legítima, que consiste en contar con la información necesaria para tener una adecuada distribución de los recursos de crédito, los cuales deben ser debidamente administrados al derivarse de los depósitos[80]. De esta manera se protege la estabilidad financiera y el ahorro público, que son actividades vinculadas al interés público como se encuentra previsto en el artículo 335 de la Constitución[81].

40. Ahora bien, los principios de veracidad, integridad, finalidad y utilidad se encuentran reflejados en las obligaciones que le impone la Ley 1266 de 2008 a la fuente, a los operadores de la información y a los usuarios. De esta suerte, la referida normativa prevé que el titular puede exigirle a la fuente: a) la rectificación de los datos contenida en la base e informarlo a los operadores; b) solicitar prueba de la autorización, cuando esta sea necesaria; c) que la información que suministre a los operadores de los bancos de datos sea “veraz, completa, exacta, actualizada y comprobable”. Además, la fuente tiene como obligaciones correlativas: a) reportar periódicamente las novedades de los datos que haya suministrado previamente al operador; b) adoptar las medidas pertinentes para actualizar la información; c) rectificar la información incorrecta e informarla a los operadores; d) solicitar cuando sea necesario el consentimiento del titular y certificarlo semestralmente[82]; e) cuando se presente solicitud de rectificación informar al operador que determinada información se encuentra en discusión, para que se incluya una leyenda en este sentido, así como f) diseñar e implementar mecanismos eficaces para reportar la información al operador[83].

    Igualmente, el operador de la información debe, de acuerdo con el artículo 7º de la Ley 1266 de 2008: a) solicitarle a la fuente que certifique la existencia de la autorización otorgada por el titular para el tratamiento del dato; b) asegurar los registros para impedir su alteración, pérdida, alteración o uso no autorizado; c) actualizar el registro de la información cada vez que lo reporten las fuentes; d) tramitar las peticiones, consultas y reclamos formulados por el titular de la información; d) indicar cuando haya lugar a ello que determinada información se encuentra en discusión por parte de su titular cuando no haya finalizado el trámite[84].

    El principio de responsabilidad demostrada

41. Según lo expuesto en la Sentencia C-032 de 2021[85], el principio de responsabilidad demostrada consiste en el deber que le asiste al responsable del tratamiento de datos de demostrar ante la autoridad de datos que cuenta con la institucionalidad adecuada y los respectivos procedimientos internos para garantizar el efectivo goce del derecho al habeas data. Específicamente, debe evidenciar la vigencia del principio de libertad, las facultades de conocimiento, actualización y la rectificación del dato personal. En plena correspondencia con la Superintendencia de Industria y Comercio, este principio implica que las medidas adoptadas para cumplir con el referido derecho son útiles, pertinentes y eficientes[86].

    Acerca del citado principio de responsabilidad demostrada también existen diferentes instrumentos internacionales que han ampliado su marco de aplicación. Por ejemplo, este fue incorporado en las directrices sobre datos personales de la Organización para la Cooperación y el Desarrollo Económico (OCDE) que fueron elaboradas en el año 2013[87]. Tales directrices, si bien no son una norma de derecho internacional público, sí configuran una doctrina relevante para la Corte, en la medida en que otorga argumentos para definir el contenido y alcance del principio de responsabilidad demostrada y su vínculo con los demás principios que integran el derecho fundamental al habeas data. Conforme con este documento, un controlador de datos es responsable de adoptar las medidas necesarias para cumplir con los principios de protección de datos. De esa manera, los controladores de datos habrán de cumplir con tres directrices[88]:

    En primer lugar, deben llevar a cabo: (a) un programa de control de datos acorde con la estructura, escala, volumen y sensibilidad de sus operaciones; (b) asegurar salvaguardas de evaluaciones de riesgo a la privacidad; (c) planes para responder a quejas e incidentes, que se actualice de acuerdo con su monitoreo y evaluación periódica. En segundo lugar, deben ser capaces de demostrar que su programa de administración de datos es apropiado. En particular, al atender solicitudes de la autoridad competente deberían demostrar que tienen un código de conducta para cumplir con sus obligaciones. Por último, deberían dar aviso, cuando ello resulte apropiado, a las autoridades competentes cuando exista una queja de seguridad seria que afecte los datos personales. Si la infracción afecta a los titulares del dato debería informarles[89].

    En el ordenamiento jurídico interno, la legislación ha establecido el principio de responsabilidad demostrada frente a las entidades estatales y organizaciones de carácter privado. El Decreto 1377 de 2013[90], que reglamentó la Ley 1581 de 2012[91], estableció este principio[92]. En tal acto administrativo se previó que los responsables de los tratamientos de los datos deben demostrar, a solicitud de la Superintendencia de Industria y Comercio, que han implementado a cabalidad las medidas apropiadas y efectivas para cumplir las obligaciones reconocidas tanto en la referida ley como en el decreto recién mencionado[93].

    Más adelante, en el Decreto 1413 de 2017[94], se instituyó el principio de responsabilidad demostrada para las entidades que conforman la administración pública[95], en el interés de prestar servicios ciudadanos digitales[96]. Así, quienes operen estos servicios deberán adoptar medidas apropiadas, efectivas y verificables que les permitan demostrar el correcto cumplimiento de las normas sobre tratamiento de datos personales[97]. En concreto, habrán de “crear e implementar un Programa Integral de Gestión de Datos (PIGD), como mecanismo operativo para garantizar el debido tratamiento de los datos personales”[98]. Este programa debe ser acorde con la guía del principio de responsabilidad demostrada elaborado por la Superintendencia de Industria y Comercio[99]. Igualmente, según dispone el decreto en cita, para proteger la confidencialidad, integridad y disponibilidad de los datos, todas las entidades adoptarán políticas apropiadas, efectivas y verificables que permitan demostrar el cumplimiento de un modelo de gestión de seguridad de la información[100].

    Por su parte, la Ley Estatutaria 2157 de 2021, que modificó y adicionó la Ley 1266 de 2008, introdujo el principio de responsabilidad demostrada en la administración de las bases de datos de carácter financiero o crediticio[101]. De acuerdo con esta normativa, los operadores, las fuentes y los usuarios deben demostrar que han implementado “medidas apropiadas, efectivas y verificables para cumplir con las disposiciones de la Ley 1266 de 2008”. Estas medidas deben ser proporcionales frente a: (i) la naturaleza jurídica del operador, la fuente o el usuario; (ii) el tamaño de la empresa; (iii) la naturaleza de los datos personales; (iv) el tipo de tratamiento; (v) los riesgos potenciales que se pueda causar a los derechos de los titulares. En líneas generales, las medidas organizacionales y técnicas implementadas para cumplir con el referido principio habrán de determinarse con base en una evaluación de las actividades de procesamiento y de los riesgos inherentes a estas.

    De ahí que para garantizar el principio de responsabilidad demostrada, en los precisos términos previstos en la Ley 2157 de 2021[102], los operadores, las fuentes y los usuarios tienen la obligación de: (i) crear una organización administrativa para la adopción de políticas acordes con el marco normativo de protección de datos personales; (ii) adoptar mecanismos internos para poner en práctica esas políticas; y, (iii) establecer procesos para la atención de consultas, peticiones y reclamos de los titulares, relacionados con el tratamiento de los datos. Lo anterior, no solo con especial énfasis en la calidad, confidencialidad y seguridad de la información, sino también en acatamiento de la comunicación previa del reporte negativo y de la atención oportuna de consultas y reclamos de los titulares de los datos.

42. En síntesis, bajo el principio de responsabilidad demostrada, a los encargados del tratamiento de datos personales les asiste la obligación general de adoptar medidas apropiadas, efectivas y verificables para proteger el derecho fundamental de habeas data. Estas medidas deberán garantizar, como mínimo y en cualquier operación de procesamiento de datos personales: (i) una organización administrativa para cumplir con estas políticas; (ii) un mecanismo interno para hacerlas efectivas; y, (iii) un proceso adecuado de consultas, peticiones y reclamos que garantice la confidencialidad y seguridad de la información. Lo anterior, sin perjuicio de reconocer que, como sucede en otras latitudes, la manera específica de dar cumplimiento a las anteriores medidas depende por completo de los hechos y circunstancias concretas de cada caso particular[103]. De hecho, el propio legislador previó que, al adoptar estas medidas, habrá de atenderse a distintas circunstancias tales como la naturaleza jurídica del responsable en el tratamiento de datos, el tamaño de la empresa, el tipo de datos involucrados y el posible daño que pueda causar una eventual divulgación de estos.

    La protección del derecho fundamental al habeas data en la jurisprudencia constitucional cuando se trata de obligaciones inexistentes

43. En materia de tutela, la Corte Constitucional ha protegido los derechos fundamentales al habeas data y al buen nombre de los titulares cuando se demuestra en el caso concreto que una fuente reporta ante los operadores información negativa sobre su presunto incumplimiento de obligaciones crediticias inexistentes. En estas decisiones, las diferentes Salas de Revisión han establecido que los requisitos para que proceda el reporte de un dato desfavorable son los siguientes: por un lado, (i) la veracidad acerca de la existencia de una obligación crediticia y, por otro, (ii) la autorización previa, escrita y expresa del titular para que se reporte el dato negativo.

    Así, por ejemplo, en la Sentencia T-847 de 2010[104], la Sala Novena de Revisión de esta Corporación estudió una acción de tutela promovida por una ciudadana en contra de un banco por remitir datos financieros negativos sin verificar la veracidad del crédito registrado en mora, ni la autorización de la titular. En aquella oportunidad, este Tribunal concluyó que la entidad bancaria violó los derechos fundamentales al habeas data y al buen nombre de la accionante, pues la fuente no solo no demostró el origen de la obligación crediticia, ni tampoco la existencia del crédito ni la mora reportada a las centrales de riesgo. Incluso, se concluyó que el operador ni siquiera acreditó la autorización de la titular para realizar el reporte del dato negativo. Por todo lo anterior, la referida Sala de Revisión ordenó el retiro de cualquier reporte, positivo o negativo, relacionado con la obligación controvertida por encontrarla inexistente, así como su respectiva eliminación de las bases de datos de las centrales de riesgo.

    Bajo idéntica postura, la Sala Cuarta de Revisión de la Corte Constitucional, en Sentencia T-017 de 2011[105], abordó el examen de un caso en el que una entidad bancaria desconoció el derecho de hábeas data de una persona por no eliminar el reporte de un dato negativo suyo por haber incurrido en mora, pese a haberle expedido de manera previa un paz y salvo de la obligación que había contraído inicialmente. En dicha ocasión, la Sala advirtió que la fuente que reportó la información violó los derechos al buen nombre y al habeas data del promotor del amparo, pues no existía un soporte que respaldara la veracidad de la obligación insoluta. Por este motivo, concluyó que la obligación era inexistente y, por ello, quedaba en entredicho el reporte negativo de la información a las centrales de riesgo. En esa medida, ordenó a la entidad bancaria demandada que retirara el reporte de la obligación que había efectuado frente al operador de la información.

    En un sentido similar, mediante la Sentencia T-658 de 2011[106], la Sala Séptima de Revisión de la Corte se pronunció acerca de una acción de tutela en la que se controvirtió el reporte negativo que se hizo ante una central de riesgo de una mujer madre cabeza de familia a la que se le impidió acceder a un crédito de una vivienda de interés social. En este asunto, la Corte evidenció que se habían desconocido los derechos fundamentales al buen nombre y al habeas data financiero de la actora, en la medida en que no se había demostrado la existencia de la presunta obligación de la que era titular. Además, no se demostró la autorización de esta a la fuente para reportar el dato negativo ni que el operador haya cumplido con la obligación de verificar su veracidad. En tal virtud, se ordenó a la entidad accionada que solicitara el retiro del dato negativo ante el operador de la información respecto de la obligación crediticia controvertida por encontrarla inexistente, así como la respectiva eliminación de sus bases de datos.

    De una lectura integral de la anterior línea jurisprudencial, se tiene que, por regla general, tanto la Ley Estatutaria 1266 de 2008 como la jurisprudencia constitucional establecen la posibilidad de toda persona de corregir sus datos personales contenidos en una base de datos por las centrales de riesgo. Esta garantía forma parte del núcleo esencial al habeas data y se encuentra protegida por los principios de veracidad, integridad e incorporación. Tales principios han sido aplicados jurisprudencialmente en casos en los que el reporte del dato negativo de obligaciones inexistentes se realiza sin el consentimiento de su titular, en detrimento de su derecho fundamental al habeas data.

    Protección de las autoridades de datos cuando se demuestra que ha acontecido una situación de suplantación de identidad

44. En el ordenamiento jurídico interno, la específica función de inspección, vigilancia y control de los agentes que intervienen en el proceso de administración de datos personales, se encuentra asignada a dos entidades: Por un lado, está la Superintendencia de Industria y Comercio y, por el otro, la Superintendencia Financiera de Colombia, siempre que la fuente, el operador o el usuario sean susceptibles de vigilancia por parte de esta entidad.

    Estas facultades se fundamentan en la Constitución. El Estado tiene un mandato de intervención en la economía, y debe impedir que se obstruya o restrinja la libertad económica[107]. Además, tiene el deber de controlar cualquier abuso de la posición dominante en el mercado. Igualmente, la Carta prevé el deber del Estado de ejercer la inspección, vigilancia y control de la actividad financiera, bursátil y aseguradora, y cualquier otra relacionada con el manejo, aprovechamiento de los recursos captados del público[108]. Para cumplir con esa finalidad, está prevista la Superintendencia Financiera.

    Con fundamento en lo anterior, la Ley 1266 de 2008 le atribuye a estos organismos administrativos las siguientes atribuciones: (i) impartir instrucciones y órdenes sobre la manera como deben cumplirse las obligaciones sobre protección de datos personales; (ii) velar porque los operadores y fuentes tengan un sistema de seguridad de los registros que prevengan su adulteración, pérdida, consulta o uso no autorizado; (iii) ordenar auditorías externas para verificar el cumplimiento de la ley; (iv) ordenar de oficio o a solicitud de parte la corrección, actualización o retiro de los datos personales; e (v) iniciar investigaciones administrativas para determinar si existe responsabilidad administrativa por el incumplimiento de la ley, o del incumplimiento de las órdenes impartidas por el organismo de vigilancia.

    Por lo que interesa al asunto de la referencia, dado que la controversia gira alrededor del reporte negativo de una persona que alega ser víctima de suplantación personal, esta Sala hará referencia a dos concretas decisiones de la Superintendencia de Industria y Comercio que abordan esta conducta, adoptadas con fundamento en la competencia que le es asignada por la Ley 1266 de 2008. Estas decisiones son ilustrativas del régimen de protección de datos cuando la fuente hace un reporte negativo por un producto crediticio en mora, aun a pesar de que tenía razones para considerar que el titular había sido víctima de suplantación personal.

    En la Resolución 12035 del 14 de marzo de 2022, la Superintendencia de Industria y Comercio resolvió sancionar a la sociedad Marketing Personal al haber reportado un dato negativo de la peticionaria, aunque esta alegó en su momento haber sido víctima de una suplantación de identidad y no haber tenido nunca una relación contractual con la fuente. A pesar de haber interpuesto la denuncia por la presunta comisión del delito de falsedad personal, el reporte del dato negativo se mantuvo. Tras estudiar el asunto, la Superintendencia advirtió que cuando la información no es veraz ni comprobable, la central de riesgo debe abstenerse de reportar la información a los operadores de la información. En estos casos, quienes conceden créditos, venden bienes o prestan servicios tienen la obligación de adoptar todas las medidas necesarias para establecer la verdadera identidad de sus clientes.

    En tal sentido, la resolución concluyó que la fuente violó el principio de veracidad, porque no suministró información completa, actualizada y comprobable a los operadores. También infringió el principio de libertad por no solicitarle al titular la autorización antes de entregar la información a la central de riesgo, de conformidad con lo dispuesto en la Ley 1266 de 2008. Adicionalmente, en el mencionado acto administrativo, también se exhorta a la empresa sancionada a cumplir con el principio de responsabilidad demostrada en los términos de la Ley 2157 de 2021, de manera tal que garantice la calidad de la información, la comunicación previa para el reporte de información negativa, la confidencialidad y seguridad de esta, así como la debida y oportuna atención de las consultas o reclamos de los titulares de los datos.

    Seguidamente, en una decisión muy similar, la Superintendencia de Industria y Comercio impuso una sanción económica a la sociedad anónima Belstar[109]. En este caso en particular logró demostrarse que la empresa efectuó un reporte negativo del titular del dato ante los operadores de la información. Esto aunque el peticionario había interpuesto una denuncia por suplantación de datos personales ante la Fiscalía General de la Nación y había presentado una queja por estos mismos hechos ante la Superintendencia, la fuente se tardó cuatro meses para realizar la eliminación del reporte. Además, como la fuente no demostró la existencia de la obligación, se incumplió el deber de garantizar que el reporte a los operadores se fundamentará en información completa, exacta, actualizada y comprobable, acorde con el deber establecido en el numeral 1º del artículo 8 de la Ley 1266 de 2008, en concordancia con el literal a) del artículo 4 de la misma preceptiva.

    Estudio del caso concreto

45. Este caso tiene por objeto la protección de los derechos fundamentales al habeas data y al buen nombre del accionante I.S.R., al ser reportado ante D. por mora en el pago de varios productos financieros y mantenerse su dato negativo en dicha central de riesgo a pesar de denunciar oportunamente que fue víctima de suplantación de identidad. Al respecto, el demandante alega que le entregó copia de su cédula de ciudadanía y de sus huellas dactilares a dos personas que dijeron ser trabajadores de la empresa Saab Internet para todos, para contratar los servicios de internet y de televisión. Con posterioridad, el señor S. apareció reportado como titular de tres productos adquiridos de manera virtual en el Banco Davivienda: una tarjeta de crédito, un crédito y una cuenta de ahorros. Por ello, solicitó en tres oportunidades una rectificación ante la entidad bancaria. Con posterioridad, a raíz de la mora en el pago de tales servicios financieros, fue reportado por el banco ante el operador de la información.

    Durante el trámite de tutela, el Banco Davivienda S.A., en su calidad de demandada, sostuvo dos posiciones. Inicialmente, ante la autoridad judicial de primera instancia y al responder las solicitudes previas de rectificación que hizo el actor, advirtió que este sí había solicitado la apertura de los tres productos mencionados, de manera digital, a través de la aplicación y sin la intervención de la entidad. Lo anterior, en principio, estaba demostrado porque el documento de identidad y las huellas, que fueron presentados como documentación de soporte para la apertura de los referidos productos, presentaban similitudes muy relevantes con las del accionante[110]. Como consecuencia de la falta de pago, el accionante fue reportado a las centrales de riesgo[111].

    Sin embargo, al dar respuesta al auto de pruebas proferido en sede de revisión por esta Sala, esta entidad varió su postura. En efecto, afirmó que la investigación del banco concluyó que el actor suministró su información personal a terceros, quienes bajo engaño lograron registrar su cédula, registros biométricos e información personal para la apertura de los citados productos[112]. Por tal motivo, advirtió que, en aplicación de lo dispuesto en el artículo 7º de la Ley 2157 de 2021, se decidió incluir en la información financiera reportada ante las centrales de riesgo, la leyenda “víctima de falsedad personal”. En los anexos de su comunicación se demuestra que reportó esta información a las centrales de riesgo C. y D..

    En ese sentido, para la Sala es claro que la controversia acerca de la adquisición de los productos financieros cesó. Las partes concuerdan en que la cédula y los datos biométricos del señor I.S.R. fueron utilizados fraudulentamente por terceros para adquirir los productos financieros ofrecidos por el Banco Davivienda S.A. En el expediente no existe ningún elemento de juicio que refute esta conclusión.

46. Como se consignó en el acápite de consideraciones de esta providencia, para determinar si el reporte negativo que se realiza de una persona que controvierte la existencia de la obligación crediticia que se predica incumplida, es necesario demostrar dos elementos, a saber: de un lado, la existencia de la obligación y, de otro, la respectiva autorización del titular del dato para reportar la supuesta mora ante los operadores de la información crediticia.

    En este asunto no se satisface ninguno de estos requisitos, porque: (i) como se advirtió previamente, los productos y/o servicios financieros en discusión no fueron adquiridos por el señor I.S.R.. Esto se demostró a partir del momento en que la entidad bancaria concluyó, a través de una investigación interna, que los productos habían sido adquiridos mediante engaño. Tampoco se encuentra probado que el actor (ii) hubiese sido notificado previamente del reporte negativo hecho ante los operadores de la información financiera, tal y como lo exige la Ley 1266 de 2008 y la jurisprudencia constitucional. En el expediente no obra prueba alguna que permita acreditar la notificación del reporte desfavorable al accionante.

    Ahora bien, en este punto interesa señalar que la entidad bancaria afirmó que en el caso bajo estudio no se había vulnerado el derecho fundamental al habeas data del actor, comoquiera que, con base en lo dispuesto en el artículo 7º de la Ley 2157 de 2021, se incluyó desde el pasado mes de agosto una leyenda en la que se indica “víctima de falsedad personal”. En efecto, conforme con las pruebas allegadas por el Banco Davivienda S.A., desde agosto de 2022, el señor I.S.R. aparece reportado en las centrales de riesgo de Datacrédito y Cifin con la leyenda “reclamo en trámite, Víctima de Falsedad Personal”.

    Para la Sala, este argumento no es de recibo. En este caso, las obligaciones crediticias controvertidas en un comienzo ya no son objeto de discusión alguna. Como lo afirma la propia entidad bancaria accionada, los productos crediticios no existen porque fueron adquiridos mediante engaño, tal y como se concluyó en una investigación que el mismo banco llevó a cabo. Ello como se deriva del principio general de interpretación jurídica, según el cual, del fraude no se genera derecho, en este caso derechos de créditos vinculados a los productos financieros irregularmente constituidos. En consecuencia, es contrario a los principios de veracidad e integridad del dato incluir esta leyenda, en cuanto es claro que el accionante no prestó su consentimiento para solicitar ni adquirir ninguno de los productos financieros anteriormente relacionados. En efecto, no tiene ningún sentido sostener simultáneamente la validez del reporte financiero desfavorable y, simultáneamente, afirmar la existencia de fraude en la constitución de los productos de crédito que originan el dato personal negativo. En este sentido, es importante recordar que un elemento esencial de los contratos es la existencia del consentimiento de cada una de las partes[113]. Por estos motivos, la incorporación de la leyenda, que encuentra justificación atendible cuando la obligación es discutida por una de las partes involucradas y, además, esta ha puesto en consideración de las autoridades judiciales y administrativas la existencia de fraude, no es un motivo para concluir que no se produjo la vulneración de los derechos fundamentales al hábeas data y al buen nombre invocados por el actor.

    Por el contrario, la Sala de Revisión reconoce que en el presente asunto, el reporte que efectuó el Banco Davivienda S.A. a las centrales de riesgo sobre la existencia de los productos financieros supuestamente adquiridos por el actor, desconoce el derecho fundamental al habeas data. La violación a esta prerrogativa, solo se configuró a partir del momento en que la entidad bancaria se enteró que los servicios se adquirieron de manera fraudulenta, y no adoptó ninguna medida para corregir la información.

    En efecto, la Sala advierte que en este caso se afectó el principio de veracidad, porque a partir de ese momento el banco tenía conocimiento que los datos no eran reales. Igualmente, considera que mantener su nombre como titular de dichos productos transgrede los principios de finalidad y de utilidad del dato, en cuanto no obedecen a una finalidad legítima. Incluso, la única razón que explicaba en su momento el tratamiento de los datos personales del señor S.R. obedecía al cálculo del riesgo crediticio por la supuesta mora reportada frente al pago de los productos. Tal razón desapareció por completo debido a las circunstancias fácticas recién descritas y, adicionalmente, la aptitud del dato personal para la evaluación del riesgo crediticio, en la medida en que la información no da cuenta del comportamiento financiero del sujeto concernido sino, se insiste, del fraude que sustentó la apertura de los productos de crédito que resultaron luego en mora, lo que obra en abierta contradicción con el principio de finalidad de la administración de datos personales. Por último, interesa destacar que la entidad bancaria pasó por alto la aplicación del principio de incorporación, ya que omitió advertir al operador de la información que los productos crediticios no habían sido adquiridos por el demandante.

47. Sumado a lo anterior, esta Sala también debe resolver si en la presente oportunidad el referido banco violó el principio de responsabilidad demostrada por no adoptar medidas efectivas y comprobables para tramitar la solicitud de rectificación presentada por el señor I.S.R..

    En la respuesta al auto de pruebas dictado en sede de revisión, el Banco Davivienda S.A. advirtió que llevó a cabo una investigación interna que concluyó que el señor I.S. “suministró su información personal a terceros, quienes bajo engaños, lograron registrar la cédula, información personal y registros biométricos para la apertura de productos móviles”[114]. En el proceso de tutela también adujo que para determinar si la identidad del reclamante fue suplantada hizo una validación con un experto en dactiloscopia y se analizó su cédula de ciudadanía. Este análisis concluyó que el documento era original, y las huellas correspondían a las mismas registradas en la aplicación móvil. El Banco también se refirió a las medidas técnicas que se adoptan para prevenir que las personas que abren los productos crediticios coincidan con el titular de los datos[115].

48. Cuando las entidades bancarias, crediticias o financieras reciban una queja en la que se advierta que existe un posible caso de suplantación de identidad deben llevar a cabo una investigación interna, con la finalidad de establecer si los productos fueron adquiridos mediante fraude. El deber de llevar a cabo esta investigación se justifica en el principio de responsabilidad demostrada abordado en la parte considerativa de esta providencia, que obliga a las fuentes, a los operadores y a los usuarios de la información a adoptar medidas para garantizar las obligaciones previstas en la Ley 1266 de 2008.

    La obligación de conducir estas investigaciones se justifica en tres razones adicionales. En primer lugar, en los principios de veracidad, integridad, libertad e individualidad a los que se hizo referencia en esta providencia. Para preservar los derechos de los usuarios y la confiabilidad en el sistema financiero es indispensable garantizar datos que reflejen relaciones contractuales existentes. En segundo lugar, este deber se explica en la efectividad del derecho a la rectificación del dato personal. Para decidir si la rectificación de un dato es procedente la fuente tiene el deber de actuar de manera diligente para determinar si el reclamo es fundado o no. De lo contrario, esta garantía tendría un carácter meramente formal. En tercer lugar, la estabilidad, seguridad y confianza en las actividades comerciales exige que la eliminación de datos financieros esté respaldada en razones ciertas para garantizar los derechos de los usuarios y las entidades bancarias, para lo cual no basta la afirmación de la presunta víctima.

49. Davivienda cumplió con su obligación de llevar a cabo una investigación interna, con la finalidad de esclarecer si la identidad del actor había sido suplantada. Sin embargo, la entidad bancaria no tomó medidas para garantizar la efectividad de la investigación interna, de una manera acorde con el principio de responsabilidad demostrada, al menos por dos razones. La primera de ellas, porque su resultado, que reveló la existencia de un fraude para abrir los productos crediticios, no fue debidamente informado al accionante. Cabe mencionar que en ninguna de las respuestas a las comunicaciones presentadas por el señor S.R. se le informó acerca de la existencia de una investigación en curso. Por el contrario, se insistió todo el tiempo en que aquel era el responsable de pagar las obligaciones crediticias. De hecho, la investigación interna únicamente fue expuesta como respuesta al auto de pruebas proferido por el magistrado sustanciador en sede de revisión. La segunda razón, consiste en que el Banco Davivienda S.A. sabía que los productos crediticios fueron adquiridos por medio de un engaño y, a pesar de ello, mantuvo el reporte negativo inalterado hasta la fecha. En esa medida, es claro que no demostró la existencia de medidas apropiadas para hacer efectiva su investigación interna.

50. La Sala advierte que el accionante interpuso una queja ante la Superintendencia Financiera el 28 de junio 2021[116]. Esa actuación administrativa cesó porque esa entidad consideró que los hechos fueron esclarecidos por el Banco Davivienda en las comunicaciones del 6 y del 23 de agosto de 2021.

    Como se advirtió en las consideraciones de esta decisión, la Superintendencia Financiera tiene la facultad de ordenar de oficio o a petición de parte la corrección de datos personales. Esta es una facultad subsidiaria, porque como lo prevé la Ley 1266 de 2008, cuando la solicitud provenga del interesado “se deberá acreditar ante la Superintendencia que se surtió el trámite de un reclamo por los mismos hechos ante el operador o la fuente, y que el mismo no fue atendido o fue atendido desfavorablemente”[117]. Pues bien, en este caso se encuentra probado que Davivienda resolvió de manera desfavorable las solicitudes del actor, como lo reconoció la Superintendencia en el curso de este proceso de tutela. Sin embargo, la entidad decidió archivar la queja, y no prosiguió con el proceso administrativo, aunque tenía la obligación legal de actuar para decidir si era procedente corregir, actualizar o retirar los datos del actor.

51. En conclusión, el Banco Davivienda S.A. vulneró los derechos fundamentales al habeas data y al buen nombre del señor I.S.R., desde el momento en que tuvo conocimiento que los productos no fueron adquiridos por él. En efecto, la entidad bancaria reportó el dato negativo frente a las obligaciones crediticias adquiridas mediante engaño, infringió los principios de veracidad, integridad, incorporación, finalidad y utilidad. Además, desconoció el principio de responsabilidad demostrada, pues si bien demostró haber adelantado una investigación interna que permitió advertir la existencia de una suplantación de identidad, el demandante -en su calidad de titular de los datos personales- no conoció el resultado de ésta. En vista de lo anterior, esta medida tampoco resultó efectiva para evitar el reporte negativo del dato de una obligación que no fue consentida por el titular.

52. Finalmente, la Sala considera necesario advertir que los ciudadanos deben ser especialmente cuidadosos y precavidos cuando decidan entregar sus datos personales a terceros, para prevenir fraudes y casos de suplantación como los que ocurrieron en el presente caso. Entregar datos biométricos, como las huellas dactilares, que tienen como finalidad validar la identidad de una persona puede facilitar la solicitud de créditos, la adquisición de servicios de comunicaciones, o la presentación de declaraciones de impuestos falsas. Estos comportamientos pueden afectar seriamente los derechos al buen nombre, al habeas data y a la propiedad privada, entre otras garantías constitucionales.

    R. judiciales por emplear en el caso concreto

53. Como resultado de todo lo expuesto, la Sala Sexta de Revisión concederá la protección de los derechos fundamentales invocados. Por consiguiente, revocará el fallo de tutela de primera instancia del 22 de febrero de 2022, proferido por el Juzgado Promiscuo Municipal de Sabana de Torres, Santander. Como medidas de restablecimiento de tales prerrogativas, esta Sala adoptará los siguientes remedios judiciales:

    Primero. En el presente caso se demostró que los productos crediticios cuya titularidad se le atribuyen al señor I.S.R. fueron adquiridos por terceros mediante engaño, por lo que la Sala ordenará al representante legal del Banco Davivienda S.A. que reporte a las centrales de riesgo, Cifin y Datacrédito, la novedad de la eliminación de la obligación de los productos financieros, y de cualquier información relacionada con éstos, por considerar que son inexistentes.

    Segundo. Para cumplir con lo dispuesto en la Ley 1266 de 2008 modificada y adicionada por la Ley 2157 de 2021, el Banco Davivienda deberá adoptar medidas para cumplir con el principio de responsabilidad demostrada y prevenir la repetición de hechos semejantes. Por esto, se ordenará que se notifique al titular del dato cuando se demuestre a través de una investigación interna que su identidad ha sido suplantada para obtener productos crediticios. Además, en esos casos, si ya hubiese hecho el reporte del dato ante los operadores de la información, deberá informar la novedad correspondiente.

    Tercero. Por la misma razón prevista en la orden anterior, ordenará a la central de riesgo Experian Colombia S.A. -Datacrédito- que retire cualquier reporte positivo o negativo de los productos adquiridos, porque fueron obtenidos mediante fraude. Además, deberá recalcular el score o puntaje de I.S.R., el cual se vio afectado con el reporte negativo suministrado.

    Cuarto. En el proceso de tutela se probó que los productos financieros no fueron adquiridos por I.S., sino por terceros que obtuvieron sus datos personales mediante engaño. Sin embargo, como se advirtió al resolver caso concreto, el banco no adoptó ninguna medida para notificar al actor de esta irregularidad. Por ello, la Sala le ordenará a la Superintendencia Financiera que en el marco de su función de vigilancia que adelante una investigación en la que se determine si existe o no responsabilidad administrativa del Banco Davivienda, y de ser pertinente imponer las medidas o las medidas que resulten pertinentes.

    Quinto. En esta sentencia, la Sala de Revisión concluyó que Davivienda incurrió en una omisión que vulneró el derecho fundamental al habeas data de I.S., por no informarle que los productos que se encontraban a su nombre fueron adquiridos mediante engaño. Tampoco reportó este hecho a las centrales de riesgo. Estas conductas podrían configurar una responsabilidad administrativa del banco, por incumplir lo dispuesto en la Ley 1266 de 2008[118]. En consecuencia, le ordenará a la Superintendencia Financiera que adelante una investigación, en el marco de su función de vigilancia, para que determine la existencia o no de esta responsabilidad, y si hay lugar a imponer las sanciones u otras medidas previstas en la ley.

    Sexto. En este proceso de tutela Davivienda le informó a la Corte, con fundamento en una investigación interna, que los productos financieros fueron obtenidos por terceros que engañaron a I.S., para obtener sus datos personales. En el expediente no se encuentran de manera detallada los resultados de esa investigación, pero la afirmación del Banco tiene relevancia penal, porque indica la posible existencia de una conducta punible que debe ser investigada por la Fiscalía General de la Nación.

    Las conclusiones de la investigación interna contrastan con los anexos del informe rendido por el Director de Asuntos Jurídicos de la Fiscalía. En el expediente penal se encuentra una orden de archivo de la investigación penal proferida el 31 de enero de 2022, por la Fiscal Delegada ante los Jueces Penales Municipales del Circuito de Sabana de Torres, por atipicidad de la conducta punible de falsedad personal denunciada por el accionante[119]. Por lo anterior, la Corte advierte que parecen existir evidencias nuevas en poder de Davivienda que no fueron consideradas en la indagación preliminar, que podrían permitir la reapertura de la investigación. En este sentido, el inciso segundo del artículo 79 de la Ley 906 de 2004[120], prevé que cuando exista una orden de archivo “si surgieren nuevos elementos probatorios la indagación se reanudará mientras no se haya extinguido la acción penal”.

    En consecuencia, compulsará copias a la Fiscalía Única de Sabana de Torres para que, en el marco de sus competencias, decida si continúa con la indagación preliminar radicada con el número de noticia criminal No 680816000136202150427, correspondiente a la denuncia interpuesta por el ciudadano I.S.R.[121].

    Síntesis de la decisión

    En este caso la Sala concluyó que el Banco Davivienda, desde el momento en que se demostró que la apertura de los productos crediticios fue realizada de manera fraudulenta reportó sin fundamento ante las centrales de riesgo a I.S.R.. En efecto, una investigación interna de la entidad bancaria permitió establecer que los datos personales del accionante fueron obtenidos mediante engaño, por terceros que abrieron productos bancarios a su nombre. En este caso se cumplió con el requisito de subsidiariedad, porque el demandante agotó el requisito de procedibilidad de la acción de tutela de solicitarle al banco eliminar los datos negativos reportados ante las centrales de riesgo. Por eso, se cumplió con el requisito de subsidiariedad.

    Al analizar el fondo del asunto, la Sala concluyó que se desconocen los principios de veracidad, integridad, incorporación y finalidad del derecho fundamental al habeas data, cuando la fuente conoce que el titular del dato no adquirió las obligaciones crediticias y pese a ello realiza un reporte negativo al operador de la información. En efecto, en este caso no existe controversia acerca de la inexistencia de la obligación, y el reporte de los productos crediticios ante los operadores de la información persiste. También se infringe el principio de responsabilidad demostrada que orienta el contenido del derecho fundamental al habeas data, cuando una entidad bancaria lleva a cabo una investigación interna que demuestra que los datos de un titular han sido suplantados e incurre en alguna de las siguientes omisiones: (i) no notifica al titular y (ii) no le solicita al operador de la información que elimine el reporte de los productos crediticios. En particular, el Banco Davivienda S.A. vulneró los derechos fundamentales de I.S.R. al efectuar un reporte negativo, pese a que se demostró que las obligaciones crediticias que se alegaban incumplidas fueron adquiridas por un tercero mediante engaño.

    Para remediar estas violaciones profirió varias órdenes. Primero, ordenó a Davivienda que: (i) reporte a las centrales de riesgo C. y D. la novedad de los productos crediticios endilgados al accionante, (ii) cuando se demuestre a través de una investigación interna que ha sido suplantada su identidad para obtener productos crediticios deberán notificarlo al titular del dato y a los operadores de la información. Segundo, requirió a la central de riesgo D. que elimine de sus bases de datos los reportes sobre los productos que se discutieron en este proceso. Tercero, le ordenó a la Superintendencia Financiera que investigue si se configura la responsabilidad administrativa del Banco Davivienda por incumplir las obligaciones previstas en la Ley 1266 de 2008. Finalmente, compulsó copias a la Fiscalía Única de Sabana de Torres para que, en el marco de sus competencias, decida si resulta procedente continuar con la indagación preliminar, correspondiente a la denuncia interpuesta por el ciudadano I.S.R..

En mérito de lo expuesto, la Sala Sexta de Revisión de la Corte Constitucional, administrando justicia en nombre del pueblo y por mandato de la Carta Política,